中軟統(tǒng)一終端安全管理系統(tǒng)80安裝手冊

1、u非常感謝您選用我們的，本手冊用于指導用戶安裝中軟統(tǒng)一終端安全管理系統(tǒng) 8.0（中文簡稱安全管理系統(tǒng)），請您在安裝僅提供電子文檔。前，詳細閱讀本手冊。本手冊和系統(tǒng)一并出售且Copyright © 2008 by CS&S，中國軟件與技術服務所有。u中軟統(tǒng)一終端安全管理系統(tǒng) 8.0 是中國軟件與技術服務研發(fā)的受法或律保護的商業(yè)軟件。遵律是共同的責任，任何人本軟件和手冊，權利人將人，不得以及出于任何目的或者責任并保留要求賠償的權利。u任何人或實體由于該手冊提供的信息造成的任何損失或損害，中國軟件與技術服務股不承擔任何義務或責任。份系統(tǒng)中文名稱：中軟統(tǒng)一終端安全管理系統(tǒng) 8.0英文

2、簡稱：UEM8.0開發(fā)：中國軟件與技術服務的中國軟件與技術服務地址：北京市海淀區(qū)學院南路 55 號中軟：（010）郵箱：waterbox，1000812前 言目前，個人計算機系統(tǒng)成為組成企業(yè)、的主體，也是絕大多數泄密發(fā)生的。，中軟研發(fā)的終端安全管理系統(tǒng)是內網安全管理的，是加強個人計算機內部安全管理的重要工具。它作為國內市場上第一款成內部安全管理軟件，填補了國內在該領域的空白，為我國保障工作注入了新的活力。本書詳細了中軟統(tǒng)一終端安全管理系統(tǒng) 8.0 安裝全書共為七章。，為用戶在安裝時提供參考，第一章：系統(tǒng)概述第二章：體系結構和運行所需軟硬件環(huán)境第三章：服務器安裝與卸載第四章：臺安裝與卸載第五章：

3、Windows 客戶端安裝與卸載第六章：Linux 客戶端安裝與卸載第七章：審的安裝與卸載本書內容全面，深入淺出，適合安裝、使用中軟統(tǒng)一終端安全管理系統(tǒng)的用戶讀者；檢測、評估中軟統(tǒng)一終端安全管理系統(tǒng)的技術和以及希望使用中軟統(tǒng)一終端安全管理系統(tǒng)協助對其組織、機構或企業(yè)進行管理的管理等。本手冊在編寫過程中，盡管我們做了最大努力力求完美和準確，但由于水平有限，難免疏漏和缺陷之處。如果您對本手冊有任何疑問、意見或建議，請與我們。感謝您對我們的支持和幫助。通用研發(fā)中心2015 年 11 月3目錄第一章系統(tǒng)概述. - 1 -第二章體系結構和運行環(huán)境. - 3 -2.1系統(tǒng)體系結構. - 3 -2.2推薦硬

4、件需求. - 4 -2.3推薦軟件需求. - 4 -第三章服務器安裝與卸載. - 5 -3.1安裝前準備. - 5 -3.1.1數據庫的安裝. - 5 -3.1.2添加 IIS 服務.- 15 -3.1.3配置認證服務.- 18 -3.2服務器的安裝. - 61 -3.3服務器的卸載. - 78 -3.4服務器的升級. - 79 -3.5配置補丁服務器. - 80 -3.6補丁的導出和導入. - 84 -第四章臺安裝與卸載.- 86 -4.1臺的安裝. - 86 -4.2啟動臺系統(tǒng). - 91 -4.3臺的卸載. - 93 -4.4臺的升級. - 95 -第五章WINDOWS 客戶端安裝與卸載

5、.- 96 -5.1安裝方式. - 96 -5.1.1簡單安裝方式.- 96 -5.1.2認證安裝模式.- 99 -5.1.3定制安裝模式.- 102 -5.1.4自由安裝模式.- 107 -5.1.5KEY 用戶安裝.- 108 -5.1.6域用戶靜黙安裝.- 110 -5.2客戶端升級. - 112 -5.2.1手動升級.- 112 -5.2.2自動升級.- 113 -5.3客戶端的卸載. - 114 -5.3.1自動卸載.- 114 -5.3.2本地卸載.- 115 -第六章LINUX 客戶端安裝與卸載.- 118 -6.1客戶端的安裝. - 118 -6.1.1圖形界面安裝方式.- 1

6、18 -6.1.2靜默安裝.- 123 -6.2 客戶端的卸載. - 126 -6.2.1臺下發(fā)卸載命令.- 126 -6.2.2 客戶端本地卸載.- 127 -第七章審的安裝與卸載.- 129 -7.1安裝前的準備. - 129 -7.2審的安裝. - 129 -7.3審的卸載. - 134 -5第一章 系統(tǒng)概述第一章系統(tǒng)概述近年來，內網安全問題已經逐漸引起了各級的廣泛重視，企業(yè)安全意識增強，安全投入增加，但是安全卻不斷在增多。分析其主要是因為安全解決方案缺陷，邊界重視，內網安全的關注程度不夠。同時國外的一項安全顯示，超過 85%的安全威脅來自于內部，其危害程度更是遠遠超過及造成的損失，而這

7、些威脅絕大部分是內部各種和的操作行為所造成的,幾乎沒有一家企業(yè)管理不為企業(yè)終端的安全管理問題而苦惱。為了解決這些問題，很多用戶采購并部署了多個終端安全管理的安全，比如：認證、補丁管理、軟件分發(fā)、防軟件等等。但是這一系列不同廠商的軟件都是各自為政。每種軟件都需要有其的服務器、的立的客戶端，最終結果是將終端個人桌面系統(tǒng)劃分為一個個的孤島，導致管理和出現安全漏洞。同時客戶端上不同的需要重復的占用很多系統(tǒng)，導致個人桌面系統(tǒng)運行速度變慢，系統(tǒng)性能嚴重下降。內網終端的安全實施是一個系統(tǒng)工程。安全問題涉及認證、數據性、數據完整性、抗抵賴、審計、可用性和可靠性等多種基本的安全服務。內網終端安全管理是一個的、多

8、方位、多層次的系統(tǒng)問題。為此，中國軟件與技術服務研發(fā)了中軟防水墻系統(tǒng),在歷經了 7.0、7.0+、7.2、7.2R2 等版本的基礎上，又推出了中軟統(tǒng)一終端安全管理系統(tǒng) 8.0。中軟統(tǒng)一終端安全管理系統(tǒng) 8.0不同安全等級的關鍵業(yè)務,進行風險分析并形成對各種風險適度的安全策略,依據涉密系統(tǒng)的使命與目標和系統(tǒng)重要程度，將系統(tǒng)劃分為不同的安全等級，并綜合平衡考慮系統(tǒng)安全要求、系統(tǒng)所安全風險和實施安全保護措施的成本，進行安全措施的調整和定制，形成不同等級的安全措施進行保護，把各安全的功能模塊融合在一個統(tǒng)一的管理、和響應的系統(tǒng)中。通過統(tǒng)一的桌面管理系統(tǒng)，提供綜合的功能管理和安全的性能管理，從而降低系統(tǒng)的

9、復雜度和維護管理成本。中軟統(tǒng)一終端安全管理系統(tǒng) 8.0 的主要功能是對客戶終端桌面系統(tǒng)進的管理，對所有的桌面系統(tǒng)應用統(tǒng)一的安全策略，對所有的終端用戶采用統(tǒng)一的管理策略，對終端產生的日志進的分析，為所有管理員提供統(tǒng)一的應急響應知識庫。具體體現在從以下幾個方面對終端桌面系統(tǒng)進行管理：u終端安全管理按照企業(yè)終端計算機安全管理規(guī)定，對接入內網的計算機進管理，配置終端計算機的安全策略，保證終端計算機的安全運行。它有安全策略管理、終端入網認證、用戶認證、進程管理、防軟件監(jiān)測、補丁分發(fā)管理、臨時文件刪除和文件安全擦除。u終端運維管理- 1 -第一章 系統(tǒng)概述按照統(tǒng)一的安全策略客戶端的運行狀況，通過軟件自動分

10、發(fā)和軟硬件資產的統(tǒng)一管理，大大節(jié)約了企業(yè)信息系統(tǒng)的維護成本，通過系統(tǒng)幫助實現維護計算機，清除系統(tǒng)故障。它軟件分發(fā)管理、軟硬件資產管理、系統(tǒng)運行狀況和用戶幫助。u用戶行為管理通過信息外泄途徑的方式保護企業(yè)敏感信息的安全，防止用戶誤操作或行為帶出企業(yè)敏感信息。它失泄密管理、介質管理、打印機管理和硬件接口管理。u數據安全管理從多個方面和多個層次實現對用戶數據的安全管理。它：用戶桌面安全保險箱，實現了終端用戶對個人、小組等需要防護的數據的主動加密要求；安全文檔管理，該功能從底層實現了企業(yè)對某類型的敏感數據的強制加密要求；移動介質管理，該功能幫助企業(yè)實現了移動介質數據的防護，實現了“外部的U 盤進來使不

11、了，里面的U 盤出去不可用”。u終端接入管理通過終端接入認證和主機掃描實現對接入的客戶端進行認證，認證通過的可以連接網絡，對通過其他途徑進入的主機，通過掃描工具發(fā)現并告警。- 2 -第二章 體系結構和運行環(huán)境第二章體系結構和運行環(huán)境2.1 系統(tǒng)體系結構系統(tǒng)分為三個組件：客戶端、服務器和臺，系統(tǒng)采用分布式，集中式管理的工作模式。組件之間采用C/S 工作模式，組件的通信是采用 HTTP/HTTPS 加密傳輸方式。支持任意層級的服務器級聯，上下級服務器之間采用 HTTPS 協議進行。體系結構如圖1所示。圖 1系統(tǒng)體系結構圖n客戶端：安裝在受保護的終端計算機上，實時監(jiān)測客戶端的用戶行為和安全狀態(tài)，實現

12、客戶端安全策略管理。一旦發(fā)現用戶的行為或計算機的安全狀態(tài)異常，系統(tǒng)及時向服務器告警信息，并執(zhí)行預定義的應急響應策略。n客戶服務器：安裝在專業(yè)的數據服務器上，需要數據庫的支持。通過安全認證建立與多個的連接，實現客戶端策略的和下發(fā)、日志的收集和。上下級服務器間基于HTTPS 進行通信，實現組織結構、告警、日志統(tǒng)計信息等數據的搜集。- 3 -第二章 體系結構和運行環(huán)境n臺：人機交互界面，是管理員實現對系統(tǒng)管理的工具。通過安全認證建立與服務器的信任連接，實現策略的制定下發(fā)以及數據的審計和管理。2.2推薦硬件需求表格 1 系統(tǒng)推薦硬件需求2.3推薦軟件需求表格 2 系統(tǒng)軟件需求提示：n 安全管理系統(tǒng)服務

13、器，服務器軟件和支持數據庫。建議在主機上安裝安全管理系統(tǒng)服務器，并且關閉所有與安全管理系統(tǒng)無關的不必要的服務。支持操Windows 2003 系列，推薦 Advanced Server 版本。為 MSn 以上操，沒有特別說明，僅指 32 位操。安全管理系統(tǒng)客戶端不支持 Linux 系統(tǒng)，不能在 windows 雙系統(tǒng)下同時安裝UEM 客戶端。n 為保證用戶正常使用安全管理系統(tǒng)，最好將安全管理系統(tǒng)服務器、臺和客戶端分別運行于丁。的系統(tǒng)之上，同時用戶安裝前應將 Windows 版本進行升級，安裝各自版本最高補- 4 -操所需其他軟件支持服務器SQL Server 2000+SP4SQL Serve

14、r 2005Microsoft Windows Server 2003 / Advanced ServerSQL Server2008或達數據庫。硬件“加密鎖”驅動程序臺Microsoft Windows Server 2003 , Microsoft Windows 2000 Professional / Server / Advanced Server, Microsoft Windows XP客戶端Microsoft Windows 2000 Professional / Server / Advanced Server, Microsoft Windows XP Professiona

15、l，Microsoft Windows Server 2003，Microsoft Windows Vista (Ultimate / Business)， Microsoft Windows7（Ultimate / Enterprise / Business）（32/64 位） Ubuntu12.10審SQL Server 2000+SP4Microsoft Windows 2000 Professional / Server / Advanced Server,SQL Server 2005Microsoft Windows XP, Microsoft Windows Server 200

16、3SQL Server2008或達數據庫客戶端個數<200200-500500-1000>1000服務器主機個數1111+服務器CPU P4 3.0 RAM 1GB HDisk 120GBCPU P4 3.0 AT RAM 2GB HDisk 240GBCPU P4 3.0 AT RAM 4GB HDisk 480GBCPU Xeon 1G*4 RAM 4GBSCSI Disk 240GB RAID 5臺CPU P4 2.0 RAM 512MBHDisk 40GBCPU P4 2.0 RAM 1GBHDisk 40GBCPU P4 3.0 RAM 1GBHDisk 40GBCPU

17、P4 3.0 RAM 1GBHDisk 80GB客戶端審CPU P4 2.0/ RAM 512MB/ HDisk 40GBCPU P4 2.0/ RAM 512MB/ HDisk 120GB（參考服務器硬盤大?。┑谌?服務器安裝與卸載第三章 服務器安裝與卸載安全管理系統(tǒng)服務器安裝指南主要數據庫 SQL Server 2000 的安裝和服務器軟件的安裝。為保證服務器的正常通信，需要放開客戶端與服務器通訊端口：3873、8080、8443、8180、8280、8380、8543、8643、8743、1199、1299、1399；臺與服務器通訊端口：1098、1099、3843、3873、4444

18、、4445、8093，同時也應確保 SQL SERVER 的 1433 端口開放。在正式安裝安全管理系統(tǒng)服務器前，需要作以下準備工作：nnn安裝 SQL SERVER 服務器(或達數數據庫)； 配置 IIS 服務，以支持補丁管理功能的運行；配置 IAS 服務，在啟用終端接入認證功能的情況下，需要配置該服務。其中 IIS 服務和 IAS 服務也可以在安裝完服務器后再安裝和配置。3.1 安裝前準備3.1.1 數據庫的安裝我們不提供數據庫安裝軟件，由用戶自行，這里以 SQL Server 2005 為例，一下安裝過程，參考。1.將 SQL Serve 2005 安裝光盤放入光驅中，運行 splash

19、.hta 文件，開始安裝。選擇適合電腦環(huán)境的版本，如圖 3-1所示。圖 3-1SQL Server 2005 安裝界面- 5 -第三章 服務器安裝與卸載2.選擇你希望的操作項，此處如果安裝SQLServe2005，則點擊“服務器組件、工具、聯機叢書和示例”，如圖 3-2所示。圖 3-2 SQL Server 2005 安裝組件選擇3.閱讀并同意條款，“我接受條款和條件”，點擊“”，如圖 3-3所示。圖 3-3 SQLServer 2005 用戶協議- 6 -第三章 服務器安裝與卸載4.檢查所需組件。SQLServer 的運行需要一些其它程序的支持，此處列出的組件即是。點擊“安裝”按鈕，開始安裝

20、 SQLServer 所需要的支持組件，如圖 3-4 所示。圖 3-4SQLServer 2005 安裝必備組件5.輔助組件安裝完畢，點擊“”，如圖 3-5 所示。至此，SQLServer 支持組件方才安裝完畢。圖 3-5 輔助組件安裝完畢- 7 -第三章服務器安裝與卸載6.SQLServer 安裝向導，“”進入安裝，如圖 3-6 所示。圖 3-6SQLServer 安裝向導7.系統(tǒng)配置檢查，檢查完畢后，點擊“”，如圖 3-7 所示。圖 3-7系統(tǒng)配置檢查- 8 -第三章服務器安裝與卸載8.輸入信息，您的序列號密匙，然后“”，如圖示。圖 3-8輸入信息9.”，如圖3-9所示。點擊“高級”，可以

21、選擇安裝目錄和選選擇要安裝的組件，“擇詳細組件，下圖是“高級”選項。圖 3-9 選擇要安裝的組件- 9 -第三章 服務器安裝與卸載10. 高級選項顯示，如圖 3-10 所示。點擊組件之后，點擊“瀏覽”，可以改變安裝路徑；點擊組件前面的“+”查看詳細內容；點擊組件圖標，配置該組件是否安裝。高級配置完畢后，可以點擊“”返回上圖，同時高級配置啟用，再點擊上圖的“”；也可以直接點擊該圖的“”，作用一樣。圖 3-10 選擇要安裝的組件（高級選項）11.選擇實例名稱，默認為“默認實例”，點擊“”，如圖 3-11 所示。圖 3-11 選擇實例名稱- 10 -第三章 服務器安裝與卸載12.選擇服務帳號，這里選

22、擇“內置系統(tǒng)帳戶”，如圖 3-12 所示?！?，安裝結束時啟動服務按默認選項，點擊“圖 3-12 選擇服務帳戶13.選擇驗證模式，點擊“”，如圖 3-13 所示。Windows 模式：是指啟動電腦之后，再打開數據庫的時候就能直接打開，不要輸入數據庫。Server模式：是指在打開進入數據庫的時候，仍然需要輸入數據庫。圖 3-13 選擇驗證模式- 11 -第三章 服務器安裝與卸載14. 設置排序規(guī)則，黙認即可，直接“”，如圖 3-14 所示。請用戶注意：如果與 UEM 服務器結合使用，不能選擇“二進制”、“區(qū)分大小寫”、“二進制碼位”，那樣會使 UEM 服務器運行不正常。圖 3-14 設置排序規(guī)則1

23、5.”，如圖 3-15 所示。報表服務器安裝，選擇“安裝默認配置”，“圖 3-15 報表服務器安裝選項- 12 -第三章 服務器安裝與卸載16.錯誤和使用情況報告設置中，去掉兩個選項，“”，如圖 3-16 所示。圖 3-16 錯誤和使用情況報告設置17.在準備安裝界面中，點擊“安裝”按鈕，開始安裝，如圖 3-17 所示。圖 3-17 準備安裝界面- 13 -第三章服務器安裝與卸載18.安裝過程中，請耐心等待，如圖 3-18 所示。圖 3-18 安裝過程中19. SQL 組件安裝完畢，點擊“”，如圖 3-19 所示。圖 3-19 組件安裝完畢- 14 -第三章服務器安裝與卸載20.安裝正式完成后

24、，點擊“完成”按鈕，安裝，如圖 3-20 所示。圖 3-20安裝3.1.2 添加 IIS 服務IIS 是 Internet Information Server 的簡稱。IIS 作為流行的 Web 服務器之一，提供了強大的 Internet 和 Intranet 服務功能，這里添加 IIS 服務主要用于補丁服務器。步驟 1從“開始”菜單中，依次選擇“設置 面板 添加或刪除程序”。然后“添加/刪除 Windows 組件”，進入 Windows 組件向導。在組件列表框中，選擇“應用程序服務器”，如圖 3-21 所示。- 15 -第三章服務器安裝與卸載圖 3-21添加 Windows 組件步驟 2“

25、詳細信息”按鈕，進入“應用程序服務器”界面，如圖 3-22 所示。選擇 Internet信息服務（IIS），“確定”，返回到上一界面。圖 3-22選擇 Internet 信息服務（IIS）- 16 -第三章 服務器安裝與卸載步驟 3在 Windows 組件界面中，“”，開始配置組件，如圖 3-23 所示。圖 3-23正在配置組件步驟 4完成 Windows 組件安裝后，“完成”按鈕，如圖 3-24 所示。圖 3-24完成 Windows 組件安裝提示：安裝完成后,在管理工具中出現“Internet 信息服務(IIS)管理器”,請查看。- 17 -第三章 服務器安裝與卸載3.1.3 配置認證服務

26、如果要啟用務。認證功能，需要配置有認證功能的交換機、添加 IAS 服務，并配置 IAS 服 交換機配置不同的交換機配置不同，下面分別以Cisco 2950 及 6509 系列交換機Quidway S2000-EI系列交換機、3Com SuperStack 3 Switch 4400 交換機為例，說明配置，以供參考，其中紅色字體是需要輸入令，字體稍大的紫色斜體是需要根據實際情況設置的信息。一、登錄到交換機的操作命令及說明（1）打開 Windows框。鼠標點擊 Windows 屏幕左下方的“開始”菜單，令提示符”然后依次點擊“程序”、“附件”和“命令提示符”。（2）在命令提示符框中輸

27、入下列命令此處 是用戶輸入的交換機管理 IP 地址。當系統(tǒng)提示你輸入交換碼時，輸入交換碼并，登錄到交換機配置模式時需輸入交換機的。二、Cisco 2950 操作命令及說明（見圖 3-25 所示）- 18 -S w i t c h > e n a b l e# 進 入模 式 ， 需模 式S w i t c h # c o nf i g u r e t e r mi n a l# 進 入 全 局 配 置 模 式S w i t c h ( c o n f i g ) # a a a n e w - m# 啟用 a a a 模 式 時 ， 需 配 置 用 戶 名 和S

28、w i t c h ( c o n f i g ) # a a a a u t h e n t i c a t i o n d o t 1 x d e f a u l t g r o u p r a d i u s# 啟用 8 0 2 . 1 X 認證 S w i t c h ( c o n f i g ) # u s e r n a me cisco p a s s w o r d cisco# 配置 交 換 機 的 用 戶 名 和分別為 c i s c o 、 c i s c oS w i t c h ( c o n f i g ) # r a d i u s - s e r v e r

29、h o s t A. B. C. D a u t h - p o r t 1 8 1 2 k e y uem 80# 配置 r a d i u s 服 務 器 地 址 為 A . B . C . D ， 共 享 密 鑰 為 u e m 8 0（ 記 下， 后 面 配 置 I A S 服務時需要） S w i t c h ( c o n f i g ) # i n t e r f a c e F a s t E t h e r n et 0/ 1# 對端口 0/ 1 配置 8 0 2 . 1 X ，如需配置其他端口 ，則 應將 0 / 1 改 為 相 應 的 端S w i t c h ( c o

30、 n f i g - i f ) # d o t 1 x p o r t - c o n t r o l a u t o# 啟用 該 端口 的 認證模式 S w i t c h ( c o n f i g - i f ) # d o t 1 x t i m e o u t q u i e t - p e r i o d 10 # 端 口 所 連 接 計 算 機 認 證 錯 誤 后 等 待 重 試 的 時 間 為 10 秒t e l n e t 1 9 2 . 1 6 8 . 1 3 . 1第三章服務器安裝與卸載圖 3-25 Cisco 2950 操作命令三、Cisco 6509 操作命令及說明

31、（見圖 3-26 所示）- 19 -S w i t c h ( c o n f i g - i f ) # d o t 1 x t i m e o u t r e a u t h - p e r i o d 60# 端 口 周 期 性 重 新 認 證 的 時 間 為 60 秒 ，即每隔 60 秒計算機重認證 一次 S w i t c h ( c o n f i g - i f ) # d o t 1 x t i m e o u t t x - p e r i o d 30 # 該端口 收 不 到 客 戶 E AP 請求回應的重傳時間 為 30 秒S w i t c h ( c o n f i

32、g - i f ) # d o t 1 x r e a u t h e n t i c a t i o n# 啟用 該 端口 的 重 認 證 模 式 ，即每隔一段時間 要求 計算機重新認證 S w i t c h ( c o n f i g - i f ) # d o t 1 x h o s t - m o d e s i n g l e - h o s t# 將 該 端 口 配 置 為 只單 主 機 接 入 模 式S w i t c h ( c o n f i g - i f ) # e x i t#端 口 0 / 1 配置 S w i t c h ( c o n f i g ) # d o

33、 t 1 x s y s t e m - a u t h - c o n t r o l# 啟 用 交 換 機 的 全局 8 0 2 . 1 X 功能（必需） 第三章服務器安裝與卸載- 20 -S w i t c h > e n a b l e# 進 入模 式 ， 需模 式S w i t c h > ( e n a b l e ) s e t r a d i us s e r v e r A. B. C. D# 配置 r a d i u s 服 務 器 地 址 為 A . B . C . DS w i t c h > ( e n a b l e ) s e t r a d i

34、 us k e y uem 80# 配置 r a d i u s 服 務 器 的 共 享 密 鑰 為 u e m 8 0 （ 記 下， 后 面 配 置 I A S 服 務 時 需 要 ）S w i t c h > ( e n a b l e ) s e t r a d i us t i me o u t 30 # 配 置 等 待 r a d i us 服 務 器 回 復 的 超 時 時 間 為 30 秒S w i t c h > ( e n a b l e ) s e t r a d i u s r e t r a n s m i t 5# 配置 r a d i u s 服 務 器

35、 的 重 傳 次 數 為 5 次S w i t c h > ( e n a b l e ) s e t d o t 1 x m a x - r e q 5# 配置認 證 時 的 最 大 重 傳 次 數 為 5 次S w i t c h > ( e n a b l e ) s e t d o t 1 x t x - p e r i o d 30 # 配置端口 收 不 到 客 戶 E AP 請 求 回 應 的 重 傳 時 間 為 30 秒S w i t c h > ( e n a b l e ) s e t d o t 1 x q u i e t - p e r i o d 10

36、 # 配 置 端 口 所 連 接 計 算 機 認證錯誤后等待重試 的時 間為 10 秒S w i t c h > ( e n a b l e ) s e t d o t 1 x r e - a u t h p e r i o d 60 # 配置 端 口 周 期 性 重 新 認 證 的 時 間 為 60 秒 ， 即 每 隔 60 秒 計 算 機 重 認 證 一 次S w i t c h > ( e n a b l e ) s e t d o t 1 x s y s t e m - a u t h - c o n t r o l e n a b l e# 啟 用 交 換 機 的 全局

37、8 0 2 . 1 X 功能（必需） S w i t c h > ( e n a b l e ) s e t p o r t d o t 1 x 4/ 1 i n i t i a l i z e# 對端口 4 / 1 配置 8 0 2 . 1 XS w i t c h > ( e n a b l e ) s e t p o r t d o t 1 x 4/ 1 p o r t - c o n t r o l a u t o# 啟 用 端 口 4 / 1 的 認 證 模 式S w i t c h > ( e n a b l e ) s e t p o r t d o t 1 x

38、 4/ 1 re - a u t h e n t i c a t i o n e n a b l e# 啟 用 端 口 4/ 1 的 重 認 證 模 式 ， 即 每 隔 一 段 時 間 要 求 計 算 機 重 新 認 證S w i t c h > ( e n a b l e ) s e t p o r t d o t 1 x 4/ 1 m u l t i p l e - h o s t d i s a b l e# 將端口 4 / 1 配 置 為 只單 主 機 接 入 模 式第三章服務器安裝與卸載圖 3-26Cisco 6509 操作命令注意事項：1如果端口配置為 single-host

39、，那么一個端口只能一臺計算機認證通過，如果端口配置為multi-host，那么該端口下只要第一臺計算機認證通過，其他同端口下接入的計算機均無需認證即可，我們推薦選用 single-host 模式。cisco 交換機的 802.1x 實現是基于端口的，不支持基于Mac 地址的 802.1x 認證。2. 認證服務器中的共享密鑰后不能跟空格符。3. 只能在接入終端pc 的端口上作上述配置，級聯口上不能配置。4. 交換機必須配置管理 IP，否則無法進行認證。5. 配置 2950 交換機時，由于交換機上作了 aaa 配置，結束配置后一定要配置用戶和否則下次無法登錄交換機。但是可以繼續(xù)通過 console

40、 口連接配置交換機。6. 配置 2950 交換機時，遇到緊急情況可以執(zhí)行 no dot1x system-auth-control，該配置會，交換機的 802.1x 認證功能。緊急情況處理后應執(zhí)行 dot1x system-auth-control 恢復交換機 802.1x 功能。7配置 6509 交換機時，遇到緊急情況可以執(zhí)行 set dot1x system-auth-control disable，該配置會交換機的 802.1x 認證功能。緊急情況處理后應執(zhí)行 set dot1x system-auth-control enable 恢復交換機 802.1x 功能。8請確認認證功能正常運

41、行后再保存交換機配置，以免影響使用。- 21 -第三章服務器安裝與卸載四、Quidway H2403 操作命令及說明（見圖 3-27 所示）- 22 -< Q u i d w a y> s u p e r# 進 入模 式 ， 需模 式< Q u i d w a y> s y s t e m - v i e w# 進 入 系 統(tǒng) 視 圖 模 式 Q u i d w a y r a d i u s s c he m e myradius# 創(chuàng)建 r a d i u s 配置方案 my r a d i u s 并 進 入 其 視 圖 ，“ m yr a d i u s ”是自

42、定義字符串 Q u i d w a y - r a d i u s - myr a d i u s pr i m a r y a u t he n t i c a t i o n A. B. C. D 1 8 1 2# 設置 r a d i u s 認證服務器 A . B . C . D 及端口 Q u i d w a y - r a d i u s - myr a d i u s a c c o u n t i n g o p t i o n a l# 打開 R A D I U S 計費可選開關 （必需） Q u i d w a y - r a d i u s - myr a d i u s

43、 k e y a u t h e n t i c a t i o n uem 80# 設置 R A D I U S 報文的加密密鑰（記下， 后面 配置 I A S 服務時需要） Q u i d w a y - r a d i u s - myr a d i u s u s e r - n a me - f or m a t w i t h ou t - d o m a in # 指 示 系 統(tǒng) 從 用 戶 名 中 去 除 用 戶后 再 將 之 傳 給 R A D I U S 服務器 Q u i d w a y - r a d i u s - myr a d i u s q u i t#r a

44、d i u s 配置方案 my r a d i u s Q u i d w a y d o m a i n mydomain# 創(chuàng) 建 用 戶 域 myd o ma i n 并進入其視圖 ，“ my d o ma i n ” 是 自 定 義 字 符 串 ， 可 以 隨 便 命 名 ， 也可以將此字符串命名 為“ m yr a d i u s ”即跟“ r a d i u s s c h e m e m yr a d i u s ”中的一樣 Q u i d w a y - i s p - myd o ma i n r a d i u s - s c h e me myradius# 指 定 上

45、面 創(chuàng) 建 的 r a d i u s 配置方案 m yr a d i u s ， 即 上 面 “ r a d i u s s c h e me m yr a d i u s ” 中的“ m yr a d i u s ” 為該用戶域的 R A D I U S 服務器組 Q u i d w a y - i s p - myd o ma i n q u i t#用 戶 域 myd o ma i n 視圖 Q u i d w a y d o m a i n d e f a u l t e n a b l e mydomain# 設 置 用 戶 域 myd o ma i n 為默認 域，即上面“ d

46、o ma i n my d o ma i n ”中的“ my d o ma i n ” Q u i d w a y d o t 1 x a u t h e n t i c a t i o n - me t h o d e a p# 設 置 認 證為 eap Q u i d w a y d o t 1 x p o r t - c o n t r o l a u t o# 設 置 端 口 認 證 模 式 Q u i d w a y d o t 1 x p o r t - m e t h o d m a c b a s e d# 設 置 接 入方 式 （ 該 命 令 可 以 不 配 置 ， 因 為默

47、 認 就 是 基 于 M A C 地 址 的 ） Q u i d w a y d o t 1 x r e - a u t h e n t i c a t e第三章服務器安裝與卸載注意事項：1因為沒有設置 radius 計費服務器，所以必須要打開 RADIUS 計費可選開關即 accountingoptional。2必須指示系統(tǒng)從用戶名中去除用戶without-domain后再將之傳給 RADIUS 服務器即 user-name-format3. key authentication uem80 中的共享密鑰（uem80）后不能跟空格符。4. 只能在接入終端pc 的端口上作上述配置，級聯口上不能

48、配置。5. 交換機必須配置管理 IP，否則無法進行認證。6. 遇到緊急情況可以執(zhí)行 undo dot1x，該配置會后應執(zhí)行 dot1x 恢復交換機 802.1x 功能。7. 如果各項配置均正確，但發(fā)現仍不能認證交換機的 802.1x 認證功能。緊急情況處理，此時可查看此交換機能否 ping 通認證服務器。如果不可以ping 通，請嘗試將認證服務器 IP 地址與此交換機配置到一個 vlan?！?. 對于 H3C 的交換機，如若配置完 IAS 服務器后，客戶端請求驗證件日志有類似“從無效客戶端A.B.C.D 收到請求”，則請將本文檔“3.3.3 配置 IAS 服務器，增加 radius 客戶時”在

49、“客戶端 IP 地址”一欄中分別輸入該交換機的各個 Vlan 的 IP 地址。9請確認認證功能正常運行后再保存交換機配置，以免影響使用。- 23 -# 設 置 端 口 為 重 認 證 模 式 ，即每隔一段時間要 求計 算機重新認證 Q u i d w a y d o t 1 x t i m e r q u i e t - pe r i o d 10 # 配 置 端 口 所 連 接 計 算 機 認證錯誤后 等 待 重 試 的 時 間 為 10 秒 Q u i d w a y d o t 1 x t i m e r r e a u t h - p e r i o d 60# 配置 端 口 周 期

50、性 重 新 認 證 的 時 間 為 60 秒 ， 即 每 隔 60 秒 計 算 機 重 認 證 一 次 Q u i d w a y d o t 1 x t i m e r t x - p e r i o d 30 # 配置端口 收 不 到 客 戶 E AP 請 求 回 應 后 的 重 傳 時 間 為 30 秒 Q u i d w a y d o t 1 x i n t e r f a c e E t h e r n e t 0 / 1 t o E t h e r n e t 0 / 2# 開 啟 指 定 端 口 E t h e r n e t 0 / 1 和 E t h e r n e t 0

51、 / 2 的 8 0 2 . 1 x 功能 Q u i d w a y d o t 1 x# 開 啟 交 換 機 的 全局 8 0 2 . 1 x 功能 ( 必需 )第三章服務器安裝與卸載圖 3-27Quidway H2403 操作命令- 24 -第三章服務器安裝與卸載五、Quidway S5300 系列交換機配置- 25 -< Q u i d w a y> s u p e r# 進 入模 式 ， 需模 式< Q u i d w a y> s y s t e m - v i e w# 進 入 系 統(tǒng) 視 圖 模 式 Q u i d w a y r a d i u s -

52、 s e r ve r t e m p l a t e myradius# 創(chuàng)建 r a d i u s 配置方案 my r a d i u s 并 進 入 其 視 圖 ， “ m yr a d i u s ”是自定義字符串 Q u i d w a y - r a d i u s - m yr a d i u s r a d i u s - s e r v e r a u t h e n t i c a t i o n A. B. C. D 1 8 1 2# 設置 r a d i u s 認證服務器 A . B . C . D 及端口 Q u i d w a y - r a d i u s -

53、 m yr a d i u s r a d i u s - s e r v e r s h a r e d - k e y uem 80# 設置 R A D I U S 報文的加密密鑰（記下， 后面 配置 I A S 服務時需要） Q u i d w a y - r a d i u s - m yr a d i u s u n d o r a d i u s - s e r v e r u s e r - n a m e d o m a i n - i n c l u d e d# 指 示 系 統(tǒng) 從 用 戶 名 中 去 除 用 戶后 再 將 之 傳 給 R A D I U S 服務器 Q u i d w a y - r a d i u s - m yr a d i u s r a d i u s - s e r ve r t y pe s t a n d a r d# 設置 R A D I U S 服務器類型為標準類型 Q u i d w a y a a a# 進 入 交 換 機 aaa 模式 Q u i d w a y - a a a a u t h e n